Matérias‎ > ‎

ed82art4

--------------------------------------------------------------------------------------------------------

Ethical Hackers: Os Seguranças Virtuais

Entenda como trabalham os profissionais responsáveis por verificar e sugerir mudanças na segurança de sistemas virtuais a fim de protegê-los de pessoas mal intencionadas.


Por Giuseppe Di Giuseppe Deininger


Com o começo da era digital e a virtualização dos dados, muitas empresas optaram por manter suas informações dentro da rede, seja para uso de seus funcionários ou para troca de informações com terceiros, e assim como no meio real, existem pessoas mal intencionadas dispostas a roubar esses dados para fins ilícitos.

Dentro do grupo de profissionais capazes de invadir sistemas virtuais existem três subgrupos, separados de acordo com a finalidade da invasão. O primeiro deles, o black hat, é o mais conhecido e o que justifica a fama negativa dos hackers. Eles fazem suas ações unicamente para benefício próprio, entre elas roubar número de cartões de créditos e roubar informações de pessoas ou empresas para vendê-las para organizações criminosas. O segundo grupo é o dos white hat, que são hackers contratados por empresas para testar sua segurança e sugerir melhorias. Eles trabalham sempre dentro da lei e dentro de limites definidos pela organização que os contratou, e, devido a isso, são chamados também de ethical hackers. O último grupo é o dos grey hat, o intermediário do black hat e do white hat. Seus integrantes não fazem suas ações apenas para benefício próprio, mas em algumas situações agem de maneira ilegal, como descobrir um defeito de um sistema sem permissão e então trocar qualquer informação descoberta por uma recompensa.

Dentro dos métodos de penetração também existem três grupos com nomes semelhantes, que são diferenciados de acordo com a informação fornecida ao profissional antes de começar seu trabalho. O primeiro deles é o white box, método em que o hacker possui todas as informações a respeito do sistema e dos equipamentos, permitindo que uma pesquisa prévia seja feita. Sua principal vantagem é o tempo de duração do teste, pois, tendo as informações, algumas etapas intermediárias são evitadas, acelerando o processo.

No outro extremo está o black box, método em que o hacker não possui qualquer informação a respeito do alvo, e portanto ele deve começar na mesma situação que um black hat, e passar por cinco passos importantes até chegar nas informações da empresa. São eles: estudo do ambiente, importante para adquirir informação dos funcionários para um possível uso de engenharia social a fim de conseguir algum dado específico; determinação do sistema, pois cada um possui características únicas e falhas que podem ser aproveitadas. Após a obtenção dos dados, os passos seguintes se resumem a ganhar acessos, aumentar os privilégios a fim de ter acesso a dados mais importantes e por último cobrir os rastros para que não seja descoberto. A principal vantagem desse método é a semelhança com situações reais, pois o profissional começa na mesma situação que um criminoso começaria, porém, é um método que leva bem mais tempo, e consequentemente é bem mais caro.

Figura 1. . Fases de um teste de penetração. Fonte: http://searchsecurity.techtarget.com/tip/Understanding-footprinting-as-a-predecessor-to-cyberattacks.

Para mesclar as caracteríscas positivas de cada método, existe o método grey box, em que o profissional recebe alguns dados a respeito do sistema para começar a trabalhar, porém não todos. Isso faz o processo mais rápido sem perder a confiabilidade do trabalho. Outra vantagem do método é estudar as chances de um funcionário conseguir acesso ao sistema de um departamento do qual ele não faz parte.

Levando em conta os perigos de ter uma rede vulnerável e das qualidades de um ethical hacker bem treinado, é de extrema importância que as empresas que possuam condições façam seus sistemas passarem por um teste de penetração de acordo com suas necessidades e disponibilidades, pois os problemas causados por uma invasão podem ser gigantescos. Alguns serviços virtuais exigem uma certificação de segurança que envolvem submeter o sistema a um teste de penetração pelo menos anualmente, pois na maioria das vezes envolvem informações pessoais importantes de seus usuários.




Referências: 

Ethical Hacking. Jaskolj. Disponível em http://wiki.cas.mcmaster.ca/index.php/Ethical_Hacking. Acesso em 30 de setembro de 2016.

Three Different Shades of Ethical Hacking: Black, White and Gray. David M. Hafele. SANS Institute. 23 de fevereiro de 2016.

Hacker Hat Colors Explained. Chris Hoffman. Disponível em http://www.howtogeek.com/157460/hacker-hat-colors-explained-black-hats-white-hats-and-gray-hats/. Acesso em 30 de setembro de 2016.











          






            


Comments